Forscher entwickeln Datenleak-Frühwarnsystem

Digitale Identitätsdaten, Konto- oder Kreditkarteninformationen sowie E-Mail-Adressen und Passwörter werden in großen Mengen von Cyber-Kriminellen gesammelt und gehandelt.

„In den meisten Fällen bemerken betroffene Personen zunächst nicht einmal, dass sie Opfer einer Straftat geworden sind“, sagt Matthias Wübbeling, Mitarbeiter von Prof. Dr. Michael Meier vom Institut für Informatik 4 der Universität Bonn. „Häufig erfahren sie erst sehr viel später davon, dass sich die Täter ihrer persönlichen Daten bemächtigt haben.“

Strafverfolgungsbehörden und IT-Sicherheitsforscher finden bei der Aufklärung von IT-Sicherheitsvorfällen und der Analyse von Schadsoftware häufig umfangreiche Sammlungen von Identitätsdaten, die Kriminelle angelegt haben.

„Bisher gibt es keine erprobte oder standardisierte Methode, mit der Opfer zuverlässig und proaktiv über den möglichen Missbrauch ihrer persönlichen Daten informiert werden können“, sagt Wübbeling. Reaktive Systeme, wo Benutzer ihre E-Mail-Adressen oder Passwörter überprüfen können, seien zwar erste Ansätze, setzen aber das Interesse und die Kenntnis der Nutzer voraus. „Wir benötigen ein System, das jeden erreichen kann, auch ohne dass dieser sich im Vorfeld mit Identitätsdiebstahl auseinander gesetzt haben muss.“

Proaktive Benachrichtigung Betroffener

Eine angemessene, proaktive Warnung betroffener Personen ist das Kernziel des EIDI-Projekts. Illegale Identitätsdaten-Sammlungen sollen auf Aktualität und ihre Gültigkeit überprüft werden. Dies geschieht durch neu entwickelte technische Verfahren, die unter Einhaltung der hohen Anforderungen des Datenschutzes vorhandene Datensammlungen analysieren können.

Im Anschluss an die Analyse sollen die Betroffenen automatisiert informiert werden. „Die Herausforderung besteht hier zum einen darin, eine für das Opfer verständliche Warnung zu erstellen, die es dem Empfänger dann auch ermöglicht, den Missbrauch seiner Daten zu verstehen und notwendige Maßnahmen einzuleiten, um Schlimmeres zu verhindern“, sagt Wübbeling. Gleichzeitig dürften solche Warnungen nicht zu häufig vorkommen, damit die nötige Aufmerksamkeit erhalten bleibt.

„Wir erarbeiten verständliche und umsetzbare Handlungsempfehlungen, damit solche Warnungen so gestaltet werden können, dass sie bei den Nutzerinnen und Nutzern auch die gewünschte Aufmerksamkeit erreichen“, erläutert Psychologieprof. Dr. Matthias Brand von der Universität Duisburg-Essen.

Ein dritter, wesentlicher Punkt ist die Rechtssicherheit solcher Warn- und Überprüfungssysteme. Die juristischen Partner im Projekt analysieren die Vereinbarkeit der Prozesse mit den rechtlichen Rahmenbedingungen und ihre Konformität mit den strengen Vorgaben des europäischen Datenschutzrechts. „Hier besteht politischer Handlungsbedarf“, sagt Wübbeling.

Wenn solche Frühwarnsysteme gegen Cyberkriminalität in Deutschland etabliert werden sollen, müssten zunächst die rechtlichen Grundlagen für solche Systeme geschaffen werden. Unter anderem muss dafür klar sein, wer als Betreiber eines solchen Systems in Deutschland in Frage kommt. Mögliche Betreiber sind das Bundesamt für Sicherheit in der Informationstechnik, die Datenschutzaufsichtsbehörden oder Verbraucherschützer. Die Wissenschaftler haben bereits die Bundestagsfraktionen angeschrieben, um sie auf das EIDI-Projekt als mögliches Frühwarnsystem hinzuweisen und über rechtliche Rahmenbedingungen zu informieren.

Förderung und Partner

Das Projekt EIDI wird bereits seit 2017 vom Bundesministerium für Bildung und Forschung (BMBF) mit 1,67 Millionen Euro gefördert. Die Laufzeit beträgt insgesamt drei Jahre. Im Konsortium arbeitet die Universität Bonn mit dem Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, dem Leibniz-Institut für Informationsinfrastruktur FIZ Karlsruhe, der Universität Duisburg-Essen, dem Sozialen Netzwerk XING, der Verbraucherzentrale NRW und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen.

Matthias Wübbeling
Institut für Informatik 4
Universität Bonn
Tel. 0228/7354250
E-Mail: matthias.wuebbeling@cs.uni-bonn.de

Projekt-Homepage: https://itsec.cs.uni-bonn.de/eidi